Для подключения к серверу Шлюз удаленных рабочих столов клиенты Службы удаленных рабочих столов должны соответствовать определенным требованиям, которые перечислены далее.

  • Поддерживаемый Windows способ проверки подлинности (обязательно). С помощью Диспетчер шлюза удаленных рабочих столов можно определить методы проверки подлинности, используемые сервером Шлюз удаленных рабочих столов. На клиентских компьютерах можно воспользоваться групповой политикой, чтобы настроить метод проверки подлинности, используемый для подключения к серверу Шлюз удаленных рабочих столов.

    Важно!

    Сервер Шлюз удаленных рабочих столов и подключающиеся к нему клиенты должны использовать по крайней мере один одинаковый метод проверки подлинности, в противном случае в подключении к серверу Шлюз удаленных рабочих столов будет отказано.

    Примечание

    Если для настройки метода проверки подлинности клиента применяется групповая политика, следует помнить, что параметры групповой политики для подключений клиентов Службы удаленных рабочих столов могут использоваться одним из двух способов. Такие параметры политики могут быть необязательными (иными словами, они могут быть включены, но не использоваться принудительно) либо они могут быть включены и принудительно использоваться. Дополнительные сведения см. в разделе Использование групповой политики для управления подключениями клиентов через шлюз удаленных рабочих столов.

  • Членство в группе пользователей (обязательно). С помощью Диспетчер шлюза удаленных рабочих столов можно определить обязательную принадлежность к какой-либо группе пользователей.

  • Членство в группе компьютеров (необязательно). С помощью Диспетчер шлюза удаленных рабочих столов можно определить обязательную принадлежность к какой-либо группе компьютеров.

  • В Диспетчер шлюза удаленных рабочих столов эти требования можно настроить на вкладке Требования для Политика авторизации подключений к удаленным рабочим столам. Дополнительные сведения см. в разделе Создание политики авторизации подключений к удаленным рабочим столам.

Поддерживаемые Windows способы проверки подлинности

Если для настройки поддерживаемых Windows методов проверки подлинности используется Диспетчер шлюза удаленных рабочих столов, можно указать, должна ли проверка подлинности осуществляться на основе пароля, смарт-карты либо на основе одновременно обоих перечисленных методов. Если выбраны оба способа, для подключения может использоваться любой из них.

Если для настройки поддерживаемых Windows способов проверки подлинности используется групповая политика, доступны перечисленные ниже варианты.

  • Запрос учетных данных, используя протокол NTLM (протокол «запрос-ответ» Windows NT). Дополнительные сведения о протоколе NTLM см. в статьях «Технологии входа и проверки подлинности» (https://go.microsoft.com/fwlink/?LinkId=94215) и «Протокол NTLM (Майкрософт)» (https://go.microsoft.com/fwlink/?LinkId=94216) (на английском языке).

  • Запрос учетных данных, используя базовый протокол. Базовый протокол проверки подлинности представляет собой широко используемый способ получения имени и пароля пользователя. Однако данный протокол менее защищен, поскольку пароли не шифруются, а передаются в кодировке Base64. Дополнительные сведения см. в разделе «Базовая проверка подлинности» (https://go.microsoft.com/fwlink/?LinkId=94217) (на английском языке).

  • Использование учетных данных, с которыми выполнен вход в локальную систему. В этом случае для подключения к серверу Шлюз удаленных рабочих столов используются учетные данные, введенные пользователем при входе в локальную систему. Обратите внимание, что если выбран данный вариант, то при следующем подключении к серверу Шлюз удаленных рабочих столов пользователей, уже подключившихся к данному серверу Шлюз удаленных рабочих столов с установленным флажком Запомнить мои учетные данные в диалоговом окне Параметры сервера шлюза удаленных рабочих столов, будут использоваться ранее сохраненные учетные данные.

  • Использование смарт-карты. Смарт-карты содержат в себе микрокомпьютер и небольшой объем памяти, обеспечивая при этом безопасное и защищенное хранение закрытых ключей и сертификатов безопасности X.509. Кроме того, смарт-карта обеспечивает двухфакторную проверку подлинности, при которой для получения доступа к сетевым ресурсам необходимо наличие самой смарт-карты и знание PIN-кода. Дополнительные сведения см. в статье «Руководство по планированию безопасного доступа с использованием смарт-карт» (https://go.microsoft.com/fwlink/?LinkId=94218) (на английском языке).

  • Если все эти учетные данные доступны пользователю, и при этом учетные данные пользователя были сохранены при подключении к серверу Шлюз удаленных рабочих столов, то учетные данные будут использоваться в следующем порядке.

  1. Сохраненные учетные данные.

  2. Учетные данные, с которыми был выполнен вход в локальную систему.

  3. Прочие учетные данные, предоставленные пользователем (пароль либо смарт-карта).

Дополнительные источники информации


Содержание